什么是GDPR?您需要了解的所有信息，从要求到罚款

 
《通用数据保护条例》(GDPR)于2018年生效，旨在让个人更好地控制由第三方(例如零售商或社交网络)持有的个人数据。
该法规旨在协调所有成员国之间的数据流，并增强欧盟公民对其组织持有和处理的数据的权利。
GDPR通过2018年《数据保护法》被英国法律采纳，该法取代了1998年同名的法律。根据先前的立法，组织可能会受到英国数据保护监管机构信息专员办公室(ICO)的最高罚款500,000英镑。 GDPR在这方面大大提高了赌注，并给滥用个人个人数据的企业带来巨额的，令人沮丧的罚款。在最坏的情况下，可处以高达2000万英镑的罚款，或公司年营业额的4%，以较高者为准。
为什么要起草GDPR?
在GDPR于2018年生效之前，英国受1998年《数据保护法》(DPA)的保护。之前的立法将欧盟的《数据保护指令》制定为国内法。但是，自1995年实施以来，技术和数据本身的性质已发生了巨大变化。将数据视为可交易商品的公司收入也是如此。例如，苹果公司的净销售额从1998年的约59亿美元增长到如今的2000亿美元。
在过去的25年中，自1995年发布指令以来，互联网已成为全球绝大多数企业运营的关键。社交媒体引擎的快速扩展对于制定可靠的数据保护法律也变得至关重要。
全球最大的互联网公司使用其客户数据的方式最清楚地表明了为什么需要制定GDPR之类的法规。许多数字平台(例如Google和Facebook)免费提供服务-但通常依赖于被动用户数据库中的数据收集，然后他们才能获利。总体而言，例如，当我们使用Google的搜索引擎时，我们并没有按常规方式付费，但是每项操作都会被记录并打包到第三方认为非常有价值的数据点中。在许多用途中，它允许更有效的针对性广告。
过去，这种类型的数据收集通常被不清晰的复选框或启用按钮掩盖。您甚至可能不会记得同意这些条款，并且几乎可以肯定不会阅读相关的条款和条件，但这是收到与您的兴趣不完全相同的电子邮件的原因。
数据滥用的最令人震惊的例子可能是Facebook的Cambridge Analytica丑闻，该丑闻在2018年初占据新闻头条。在那种情况下，发现用户数据与第三方应用程序共享不当，然后该第三方应用程序将其用于定位带有广告的用户竞选活动据说会影响2016年美国大选的结果。
GDPR的另一个目标是使公司更容易，更便宜地遵守数据保护规则。欧盟1995年的指令允许成员国在将其转变为地方立法时按自己认为合适的方式解释规则。这意味着整个集团的数据保护法律不一致，从而导致数据传输过于繁琐。 GDPR作为法规而非指令的性质意味着它可以直接应用而无需将其转化为法律，从而减少了成员国之间解释的差异。欧盟认为GDPR不仅可以创造流畅的数据流，而且每年可以为公司节省23亿英镑。
GDPR何时生效?
GDPR于2018年5月25日生效，自动适用于所有成员国以及与客户和欧盟居民打交道的任何国际组织。由于GDPR是一项法规，而不是指令，因此英国无需草拟新法规，而是自动适用。
随着英国现在准备离开欧盟，英国还根据《 2018年数据保护法》引入了新的数据保护法规。该新法案涵盖了某些不属于GDPR的规定，例如与移民相关的处理和自动处理公共机构。 GDPR将作为《欧盟(撤销)法案》的一部分被纳入英国法律，并将与DPA 2018一起。为了证明英国已经制定了足够强大的数据保护法律来保护欧盟数据，这是必要的，这是与英国脱欧后确保与欧盟达成充分协议所必需的。
GDPR适用于谁?
如果您不认为需要遵守GDPR法规，那么您迟早会陷入困境。无论您的业务是与欧盟内的客户开展业务还是与欧盟以外的客户开展业务，至关重要的是您必须遵守规则并确保遵守法规。
几乎每个企业都必须遵守欧盟的数据法，即使它们位于美国也是如此。这是因为大多数公司的服务器上至少存储了一些属于欧盟公民的数据。为了处理该数据，组织必须遵守GDPR原则。
但是，如果您确实与欧盟没有任何往来，则可以避免使用流量过滤器。通过阻止对您网站的任何欧盟流量，您可以确保仅允许非欧盟流量进入您的网站，并且只有欧洲以外的国家可以将其详细信息输入到您的网站。
显然，这是一种仅与不需要与欧盟公民联系的企业相关的技术，例如位于美国的新闻来源。洛杉矶时报是实施了该GDPR避免计划的一家公司。
什么是数据控制器和数据处理器?
根据欧盟的规定，数据控制器和数据处理器之间存在明显的区别。
数据控制器负责设定收集数据的方式和原因，但不一定收集数据本身。
这意味着控制者可以是任何组织，从大街零售商到全球制造业巨头再到慈善机构，而处理器可以是他们雇用的IT服务公司。
确保处理器遵守数据保护法律是控制器的职责，而处理器必须保留其处理活动的记录以证明其遵守规则。与较早的数据保护法不同，如果发生数据泄露或发现处理器非法处理数据的情况，控制器和处理器将共同承担经济罚款。
非基于EU的控制器可能使用基于EU的处理器，在这种情况下，所有各方都需要遵守GDPR。
如何根据GDPR处理数据?
GDPR指出，控制者必须确保针对特定目的合法，透明，透明地处理个人数据。
这意味着人们必须了解为什么要处理其数据以及如何处理它们，而该处理必须遵守GDPR规则。
“合法”是什么意思?
“法律上”具有一系列替代含义，并非所有替代含义都适用。首先，如果受试者同意处理其数据可能是合法的。另外，合法可以意味着遵守合同或法律义务;保护对受试者的生命至关重要的利益;处理数据是出于公共利益，还是这样做是出于控制者的合法利益，例如防止欺诈。
这些理由中至少有一项必须适用才能处理数据。
如何根据GDPR获得同意?
同意必须是数据主体的一种积极，肯定的行动，而不是在某些允许预先勾选或退出的模型下的被动接受。
管制员必须记录个人如何以及何时给予同意，并且该人可以随时撤回其同意。如果您当前的征求同意模型不符合这些新规则，则必须在GDPR于2018年适用时重新采用该模型或停止在该模型下收集数据。
通常认为，同意是处理数据的最薄弱的法律依据，因为可以随时删除同意，从而使处理陷入停顿。除非您的业务涉及媒体或营销(或需要同意的那些类似行业)，否则同意应是您的最后选择。
根据GDPR，什么算作个人数据?
欧盟已根据GDPR大大扩展了个人数据的定义。为了反映组织现在收集的有关人员的数据类型，现在将IP地址等在线标识符视为个人数据。其他数据，例如经济，文化或精神健康信息，也被视为个人身份信息。
假名化的个人数据也可能要遵守GDPR规则，这取决于识别其数据的难度或难度。
根据《数据保护法》被视为个人数据的任何内容也符合GDPR的个人数据资格。
人们什么时候可以访问我们存储在他们身上的数据?
新的数据保护法加强了立法的一个关键方面，该立法赋予公民访问组织所拥有的数据的权利。根据GDPR，任何人都可以向组织提交主题访问请求(SAR)。然后，该数据控制器将在30个工作日内提供完整的响应。
根据1998年《数据保护法》，该条款已成为英国法律的一部分，但期限为40个工作日。不遵守减少的窗口还使公司面临根据GDPR的更严格条款采取的监管行动。例如，Twitter因未能向用户提供其根据此规定要求的信息而受到GDPR的调查。但是，该规则仅在要求被认为是合理的情况下适用，因为存在某些豁免。
数据保护法规定，控制器和处理器必须清楚地标识用户数据的收集方式，用途以及处理方式。此外，任何概述此信息的通信都必须使用清晰明了的英语，因此不会造成用户混淆的风险。
实际上，提交SAR是个人可以根据法律表达其权力的一种机制，可以使公司对他们如何使用其数据负责。它赋予他们理解信息处理方式以及原因的权利。如果认为不正确，客户还可以随时要求删除，完善或更新数据。
什么是“被遗忘的权利”?
GDPR明确指出，如果不再重要，人们可以随时删除其数据-即存储该数据的公司不再需要出于收集数据的目的。如果数据是在同意模型下收集的，那么公民可以随时根据需要撤回该同意。他们之所以这样做，是因为他们反对组织如何处理其信息，或者只是不想再收集信息。
控制器负责告诉其他组织(例如Google)删除指向该数据副本以及副本本身的任何链接。
如果他们想将数据移到其他地方怎么办?
然后，您必须迅速放任他们：立法意味着公民可以期望您在四个星期内满足您的要求。控制器必须确保人们的数据采用CSV等开放的通用格式，这意味着当数据移至其他提供程序时仍可以读取。
如何根据GDPR报告数据泄露
根据GDPR，数据泄露是指导致意外或非法丢失，破坏，更改，披露或未经授权访问个人数据的任何安全破坏。
但是，只有那些可能导致人身权利和自由受到侵犯的违规行为才需要报告给ICO组织，而无需报告每起事件。
无论违规的性质如何，都要求组织采取措施加以遏制并确定其严重性。作为此过程的一部分，公司必须进行自我评估。
如果数据处理器发生违规行为，则要求他们在意识到事件后立即通知控制器。将这些义务确立为合同的一部分非常重要，因为控制器和处理器都应对未能传达数据泄露事实的行为负责。
如果受影响的方认为违约给数据主体的权利和自由带来风险，则他们最多可以有72个小时通知ICO。任何未能遵守该时间表的行为都必须得到证明。
受影响的各方可以致电0303 123 1113致电ICO，也可以在线举报违规行为，但前提是您认为自己已经适当地处理了该事件。
报告违规时，必须提供以下信息：
违规的描述，包括(如果可能)受影响的大概人数以及涉及的个人记录的类型和数量
受影响组织的数据保护人员的联系方式，或可以提供更多信息的联系人的联系方式
违反行为可能造成的后果的描述
组织为处理和减轻违规行为所采取的各种措施的描述
其中某些信息可能无法在72小时内获得，因此第33条第(4)款允许受影响的各方分阶段提供详细信息，但前提是应做到无故拖延。但是，任何延迟都需要进行解释，并且如果认为足够严重，则仍需要在72小时内通知ICO违约方。
如果该事件可能导致数据主体的权利和自由出现“高风险”，则GDPR要求公司立即告知受影响的个人，不要过分拖延。重要的是要注意，此阈值高于向ICO报告违规行为的阈值，因此，即使已通知ICO，也无需就每次违规事件向数据主体发出警报。
通知数据主体时，您需要用清晰明了的语言准确解释所发生的事情，并提供数据保护人员的姓名和联系方式，或者提供可以获取更多信息的联系点。您还需要描述由于违反而可能发生的情况，以及已采取哪些步骤保护系统并减轻违反的影响。
重要提示：无论您是否向ICO报告事件，所有安全事件都必须在将来进行调查或作为培训计划的一部分时完整记录。
如果没有在72小时内通知ICO，无故拖延，可能会导致最高1000万英镑的罚款或全球营业额的2%，以较高者为准。
违反GDPR的罚款是多少?
根据GDPR，存在两级罚款，但两者都比英国以往任何时候都要大。根据1998年《数据保护法》，英国监管机构信息专员办公室(ICO)可以对公司处以最高500,000的罚款。
GDPR大大提高了罚款上限。首先，您的组织因未在意识到的72小时内向ICO报告数据泄露而面临高达其年营业额2%的罚款，即1000万英镑。最初的联系应概述受影响数据的性质，受影响的人数，可能对他们造成的影响以及已采取或计划采取措施的措施。值得注意的是，该窗口是在发现事件后72个小时内固定的，而不是某些公司认为的72个工作小时。
然后，可能会因为违反个人数据本身而被罚款。根据GDPR进行数据泄露可能会受到组织年营业额最高4%的罚款，或2000万英镑，以较高者为准。
您可以阅读我们有关GDPR罚款的文章，以了解更多信息，但该法规确实明确规定罚款必须是“比例性的”，因此，如果轻微违规，或者您可以证明自己的行为，则不太可能面临最严厉的罚款您在很大程度上遵守了法律。
ICO本身已经表示，将罚款视为“最后的手段”。
公司是否已经受到GDPR的罚款?
公司已经违反了GDPR，导致信息专员办公室处以数百万英镑的罚款。
7月，对英国航空公司的罚金是最新的，也是迄今为止最高的。该航空公司因2018年发生的一系列数据泄露事件而被ICO罚款1.83亿英镑，导致数据盗窃总共约560,000名用户的数据，包括与航班预订有关的付款信息。
紧随其后的是，对万豪国际酒店连锁酒店处以9,900万英镑的罚款，此前其喜达屋预订系统中一个未修复的漏洞导致了3.39亿英镑的用户记录被曝光。据信，其中约有3000万英镑属于31个EEA国家的居民，其中包括700万英国记录。
法国数据保护监管机构CNIL也在1月份对谷歌处以5000万英镑的罚款，此前该公司对Android操作系统内部的强制许可提出了投诉。在这种情况下，监管机构裁定，强迫用户选择退出而不是选择参与数据处理的行为违反了GDPR。
一些公司勉强避免了GDPR规模的罚款，因为其数据事件发生在GDPR实施日期之前。根据先前的《 1998年数据保护法》，Equifax和Facebook都可能受到最高罚款-500,000英镑。
但是英国脱欧呢?
是的，英国即将退出欧盟，但由于英国政府仅在2017年3月触发了第50条，该条款启动了在两年时间内退出欧盟的行动(尽管可能需要更长的时间)，因此这意味着GDPR得以实施在英国脱欧公投的法律后果之前，因此英国必须仍然遵守。
英国脱欧与数据保护法2018
英国政府于2017年8月提出并于2018年5月23日获得皇家同意的新的《 2018年数据保护法》实质上复制了GDPR的租户，但包括了欧盟法律未涵盖的许多其他规定。
与GDPR的规定非常相似，该法案对不符合规定的组织规定了制裁措施，允许信息专员办公室(ICO)处以最高1700万英镑的罚款，或全球营业额的4%，以最高者为准(相比之下，最高为£ 2000万或GDPR的营业额的4%)。
它还为被遗忘的权利提供了规定，增加了数据主体要求社交媒体公司删除其在童年时期发表的任何帖子的能力，这是一个尴尬的成年人删除其在青少年时期所说的话的好机会。
该法案还提议通过扩大个人数据的定义以包括IP地址，Internet Cookie和DNA来使当前的数据保护法规现代化。
通过与GDPR保持一致，英国希望建立一个增强的数据保护机制，以超越欧盟对“第三”国家施加的充分性模型。希望欧盟将英国视为其数据安全的目的地，并签署充分协议，允许个人数据从欧盟自由流向英国。
前数字部长马特·汉考克(Matt Hancock)当时表示：“将欧盟法律纳入我们的国内法律将确保我们离开欧盟后能够为英国的未来做好准备。我们致力于确保英国之间继续不间断的数据流以及欧盟和世界其他国家。”
英国脱欧后的数据传输
种种迹象表明，将签署充分性协议，但是，只有在英国离开欧盟后才能进行谈判。 GDPR将作为《欧盟(撤销)法案》的一部分签署到英国国内法中。
不幸的是，关于充分性协议没有设定时间表，可能要花数月的时间才能生效。如果没有这些措施，英国企业就必须寻找其他法律机制来从欧盟接收数据(英国的承诺意味着无论有任何协议，数据都将继续流向欧盟)。
许多企业已经依靠标准合同条款将数据保护纳入与其他组织的交易中，因此在没有达成国家协议的情况下遵守GDPR。但是，在接下来的几个月中，这些可能会被裁定为无效，从而使英国企业无法通过合法手段接收欧盟数据。在此处可以找到有关标准合同条款裁定的更多信息。
GDPR的未来发展
英国脱欧后，英国也将无法为欧盟数据保护法的发展做出贡献-鉴于英国是其主要作者之一，这尤其具有讽刺意味。
实际上，欧盟首席英国脱欧谈判代表通过排除英国在2020年英国退出欧盟后为申请和监管GDPR而设立的董事会的任何参与，为这一想法注入了冷水。
ICO曾希望在英国脱欧后继续参加欧洲数据保护委员会(EDPB)，信息专员伊丽莎白·丹纳姆(Elizabeth Denham)表示，在欧盟数据保护当局的席位上坐席将“对业务确实有利”。
但是米歇尔·巴涅尔(Michel Barnier)在5月份回应说，英国脱欧“不是，也永远不会，为了欧盟的利益”，英国必须接受其退出决定的后果，包括不能参加EDPB。
德纳姆在退出欧盟议会委员会上阐明了这对英国意味着什么：“我们将成为影响力较小的监管机构。”这意味着英国在解释GDPR，如何将其应用于AI以及如何监管大型科技公司方面没有发言权。
《调查权法》是否与GDPR兼容?
但是，尚不清楚的是，一旦英国离开欧盟，其他新立法是否会被视为与GDPR兼容。例如，根据英国的《调查权力法》，ISP被迫收集个人网络历史记录并保留长达12个月。在发现旧的DRIPA立法中的相同权力被视为非法之后，政府目前必须重写其中一些法律。
但是汉考克在2017年10月写道：“英国国家安全立法不应对数据保护谈判构成重大障碍。”
我们需要一名数据保护人员吗?
根据GDPR立法，任何进行数据处理的公共机构都需要聘用数据保护官员，其核心活动涉及数据处理的公司也需要雇用他们，他们需要根据GDPR立法定期“大规模”监控个人，尽管公共机构处于优势地位，因为其中几个可以共享同一位数据保护人员。组织应将此人的联系方式提供给其数据保护机构。
数据保护官的工作是通知组织有关GDPR的要求并向其提供建议，并监督合规性。他们还将充当数据保护机构的主要联系人，并有望与该机构合作。在此处阅读有关该角色的更多信息。